- 相關推薦
當前主流的網絡安全技術有哪些
網絡安全技術指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。下面是小編整理的關于主流的網絡安全技術介紹,歡迎閱讀!
防火墻
網絡安全中系統安全產品使用最廣泛的技術就是防火墻技術,即在Internet和內部網絡之間設一個防火墻。目前在全球連入Internet的計算機中約有三分之一是處于防火墻保護之下。
對企業網絡用戶來說,如果決定設定防火墻,那么首先需要由網絡決策人員及網絡專家共同決定本網絡的安全策略,即確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過防火墻。防火墻的職責就是根據本單位的安全策略,對外部網絡與內部網絡之間交流的數據進行檢查,符合的予以放行,不符合的拒之門外。
防火墻的技術實現通常是基于所謂"包過濾"技術,而進行包過濾的標準通常就是根據安全策略制定的。在防火墻產品中,包過濾的標準一般是靠網絡管理員在防火墻設備的訪問控制清單中設定。訪問控制一般基于的標準有:包的源地址、包的目的地址、連接請求的方向(連入或連出)、數據包協議(如TCP/IP等)以及服務請求的類型(如ftp、www等)等。
除了基于硬件的包過濾技術,防火墻還可以利用代理服務器軟件實現。早期的防火墻主要起屏蔽主機和加強訪問控制的作用,現在的防火墻則逐漸集成了信息安全技術中的最新研究成果,一般都具有加密、解密和壓縮、解壓等功能,這些技術增加了信息在互聯網上的安全性。現在,防火墻技術的研究已經成為網絡信息安全技術的主導研究方向。
需要說明的是,并不是所有網絡用戶都需要安裝防火墻,一般而言,只有對個體網絡安全有特別要求,而又需要和Internet聯網的企業網、公司網,才建議使用防火墻。另外,防火墻只能阻截來自外部網絡的侵擾,而對于內部網絡的安全還需要通過對內部網絡的有效控制和管理來實現。
加密技術
網絡安全的另一個非常重要的手段就是加密技術,它的思想核心就是既然網絡本身并不安全可靠,那么所有重要信息就全部通過加密處理。加密的技術主要分兩種:
單匙技術
這種技術無論加密還是解密都是用同一把鑰匙(secretkey)。這是比較傳統的一種加密方法。發信人用某把鑰匙將某重要信息加密,通過網絡傳給收信人,收信人再用同一把鑰匙將加密后的信息解密。
這種方法快捷簡便,即使傳輸信息的網絡不安全,被別人截走信息,加密后的信息也不易泄露。
但這種方法也存在一個問題,即如果收信者和發信者不在同一地理位置,那么他們必須確保有一個安全渠道來傳送加密鑰匙。但是如果確實存在這樣一個安全渠道(如通過信差、長途電話等等),他們又何必需要加密呢?后來出現的雙匙技術解決了這個難題。
雙匙技術
此技術使用兩個相關互補的鑰匙:一個稱為公用鑰匙(publickey),另一個稱為私人鑰匙(secretkey)。公用鑰匙是大家被告知的,而私人鑰匙則只有每個人自己知道。發信者需用收信人的公用鑰匙將重要信息加密,然后通過網絡傳給收信人。收信人再用自己的私人鑰匙將其解密。除了私人鑰匙的持有者,沒有人--即使是發信者--能夠將其解密。公用鑰匙是公開的,可以通過網絡告知發信人(即使網絡不安全)。而只知道公用鑰匙是無法導出私人鑰匙的。現有軟件如Internet免費提供的PGP(PrettyGoodPrivacy)可直接實現這些功能。
在網絡傳輸中,加密技術是一種效率高而又靈活的安全手段,值得在企業網絡中加以推廣。目前,加密算法有多種,大多源于美國,但是大多受到美國出口管制法的限制。現在金融系統和商界普遍使用的算法是美國數據加密標準DES.近幾年來我國對加密算法的研究主要集中在密碼強度分析和實用化研究上。
殺毒軟件
與一般單機的殺毒軟件相比,殺毒軟件的網絡版市場更多是技術及服務的競爭。其特點表現在:
首先,殺病毒技術的發展日益國際化。世界上每天有13種到50種新病毒出現,并且60%的病毒均通過Internet傳播,病毒發展有日益跨越疆界的趨勢,殺病毒企業的競爭也隨之日益國際化。
其次,殺毒軟件面臨多平臺的挑戰。一個好的企業級殺病毒軟件必須能夠支持所有主流平臺,并實現軟件安裝、升級、配置的中央管理及自動化,要達到這樣的要求需要大量工程師幾年的技術積累。
第三,殺毒軟件面臨著Internet的挑戰。好的企業級殺病毒軟件要保護企業所有的可能病毒入口,也就是說要支持所有企業可能用到的Internet協議及郵件系統,能適應并且及時跟上瞬息萬變的Internet時代步伐。現今60%以上的病毒是通過Internet傳播,可以說Internet的防毒能力成為殺病毒軟件的關鍵技術,在這方面,國際的殺毒軟件如:Norton、McAfee、熊貓衛士走到了前面,它們均可以支持所有的Internet協議,辨識出其中病毒。
拓展:常用網絡安全技術
1、數據加密技術
數據加密技術是最基本的網絡安全技術,被譽為信息安全的核心,最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文,然后再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。
計算機網絡應用特別是電子商務應用的飛速發展,對數據完整性以及身份鑒定技術提出了新的要求,數字簽名、身份認證就是為了適應這種需要在密碼學中派生出來的新技術和新應用。數據傳輸的完整性通常通過數字簽名的方式來實現,即數據的發送方在發送數據的同時利用單向的Hash函數或者其它信息文摘算法計算出所傳輸數據的消息文摘,并將該消息文摘作為數字簽名隨數據一同發送。接收方在收到數據的同時也收到該數據的數字簽名,接收方使用相同的算法計算出接收到的數據的數字簽名,并將該數字簽名和接收到的數字簽名進行比較,若二者相同,則說明數據在傳輸過程中未被修改,數據完整性得到了保證。常用的消息文摘算法包括SHA、MD4和MD5等。
根據密鑰類型不同可以將現代密碼技術分為兩類:對稱加密算法(私鑰密碼體系)和非對稱加密算法(公鑰密碼體系)。在對稱加密算法中,數據加密和解密采用的都是同一個密鑰,因而其安全性依賴于所持有密鑰的安全性。對稱加密算法的主要優點是加密和解密速度快,加密強度高,且算法公開,但其最大的缺點是實現密鑰的秘密分發困難,在大量用戶的情況下密鑰管理復雜,而且無法完成身份認證等功能,不便于應用在網絡開放的環境中。目前最著名的對稱加密算法有數據加密標準DES和歐洲數據加密標準IDEA等。
在公鑰密碼體系中,數據加密和解密采用不同的密鑰,而且用加密密鑰加密的數據只有采用相應的解密密鑰才能解密,更重要的是從加密密碼來求解解密密鑰在十分困難。在實際應用中,用戶通常將密鑰對中的加密密鑰公開(稱為公鑰),而秘密持有解密密鑰(稱為私鑰)。利用公鑰體系可以方便地實現對用戶的身份認證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸的信息進行加密,信息接收者在收到這些信息之后利用該用戶向外公布的公鑰進行解密,如果能夠解開,說明信息確實為該用戶所發送,這樣就方便地實現了對信息發送方身份的鑒別和認證。在實際應用中通常將公鑰密碼體系和數字簽名算法結合使用,在保證數據傳輸完整性的同時完成對用戶的身份認證。
目前的公鑰密碼算法都是基于一些復雜的數學難題,例如目前廣泛使用的RSA算法就是基于大整數因子分解這一著名的數學難題。目前常用的非對稱加密算法包括整數因子分解(以RSA為代表)、橢園曲線離散對數和離散對數(以DSA為代表)。公鑰密碼體系的優點是能適應網絡的開放性要求,密鑰管理簡單,并且可方便地實現數字簽名和身份認證等功能,是目前電子商務等技術的核心基礎。其缺點是算法復雜,加密數據的速度和效率較低。因此在實際應用中,通常將對稱加密算法和非對稱加密算法結合使用,利用DES或者IDEA等對稱加密算法來進行大容量數據的加密,而采用RSA等非對稱加密算法來傳遞對稱加密算法所使用的密鑰,通過這種方法可以有效地提高加密的效率并能簡化對密鑰的管理。
2、防火墻技術
盡管近年來各種網絡安全技術在不斷涌現,但到目前為止防火墻仍是網絡系統安全保護中最常用的技術。據公安部計算機信息安全產品質量監督檢驗中心對2000年所檢測的網絡安全產品的統計,在數量方面,防火墻產品占第一位,其次為網絡安全掃描和入侵檢測產品。
防火墻系統是一種網絡安全部件,它可以是硬件,也可以是軟件,也可能是硬件和軟件的結合,這種安全部件處于被保護網絡和其它網絡的邊界,接收進出被保護網絡的數據流,并根據防火墻所配置的訪問控制策略進行過濾或作出其它操作,防火墻系統不僅能夠保護網絡資源不受外部的侵入,而且還能夠攔截從被保護網絡向外傳送有價值的信息。防火墻系統可以用于內部網絡與Internet之間的隔離,也可用于內部網絡不同網段的隔離,后者通常稱為Intranet防火墻。
目前的防火墻系統根據其實現的方式大致可分為兩種,即包過濾防火墻和應用層網關。包過濾防火墻的主要功能是接收被保護網絡和外部網絡之間的數據包,根據防火墻的訪問控制策略對數據包進行過濾,只準許授權的數據包通行。防火墻管理員在配置防火墻時根據安全控制策略建立包過濾的準則,也可以在建立防火墻之后,根據安全策略的變化對這些準則進行相應的修改、增加或者刪除。每條包過濾的準則包括兩個部分:執行動作和選擇準則,執行動作包括拒絕和準許,分別表示拒絕或者允許數據包通行;選擇準則包括數據包的源地址和目的地址、源端口和目的端口、協議和傳輸方向等。建立包過濾準則之后,防火墻在接收到一個數據包之后,就根據所建立的準則,決定丟棄或者繼續傳送該數據包。這樣就通過包過濾實現了防火墻的安全訪問控制策略。
應用層網關位于TCP/IP協議的應用層,實現對用戶身份的驗證,接收被保護網絡和外部之間的數據流并對之進行檢查。在防火墻技術中,應用層網關通常由代理服務器來實現。通過代理服務器訪問Internet網絡服務的內部網絡用戶時,在訪問Internet之前首先應登錄到代理服務器,代理服務器對該用戶進行身份驗證檢查,決定其是否允許訪問Internet,如果驗證通過,用戶就可以登錄到Internet上的遠程服務器。同樣,從Internet到內部網絡的數據流也由代理服務器代為接收,在檢查之后再發送到相應的用戶。由于代理服務器工作于Internet應用層,因此對不同的Internet服務應有相應的代理服務器,常見的代理服務器有Web、Ftp、Telnet代理等。除代理服務器外,Socks服務器也是一種應用層網關,通過定制客戶端軟件的方法來提供代理服務。
防火墻通過上述方法,實現內部網絡的訪問控制及其它安全策略,從而降低內部網絡的安全風險,保護內部網絡的安全。但防火墻自身的特點,使其無法避免某些安全風險,例如網絡內部的攻擊,內部網絡與Internet的直接連接等。由于防火墻處于被保護網絡和外部的交界,網絡內部的攻擊并不通過防火墻,因而防火墻對這種攻擊無能為力;而網絡內部和外部的直接連接,如內部用戶直接撥號連接到外部網絡,也能越過防火墻而使防火墻失效。
3、網絡安全掃描技術
網絡安全掃描技術是為使系統管理員能夠及時了解系統中存在的安全漏洞,并采取相應防范措施,從而降低系統的安全風險而發展起來的一種安全技術。利用安全掃描技術,可以對局域網絡、Web站點、主機操作系統、系統服務以及防火墻系統的安全漏洞進行掃描,系統管理員可以了解在運行的網絡系統中存在的不安全的網絡服務,在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了程序,防火墻系統是否存在安全漏洞和配置錯誤。
(1)網絡遠程安全掃描
在早期的共享網絡安全掃描軟件中,有很多都是針對網絡的遠程安全掃描,這些掃描軟件能夠對遠程主機的安全漏洞進行檢測并作一些初步的分析。但事實上,由于這些軟件能夠對安全漏洞進行遠程的掃描,因而也是網絡攻擊者進行攻擊的有效工具,網絡攻擊者利用這些掃描軟件對目標主機進行掃描,檢測目標主機上可以利用的安全性弱點,并以此為基礎實施網絡攻擊。這也從另一角度說明了網絡安全掃描技術的重要性,網絡管理員應該利用安全掃描軟件這把"雙刃劍",及時發現網絡漏洞并在網絡攻擊者掃描和利用之前予以修補,從而提高網絡的安全性。
(2)防火墻系統掃描
防火墻系統是保證內部網絡安全的一個很重要的安全部件,但由于防火墻系統配置復雜,很容易產生錯誤的配置,從而可能給內部網絡留下安全漏洞。此外,防火墻系統都是運行于特定的操作系統之上,操作系統潛在的安全漏洞也可能給內部網絡的安全造成威脅。為解決上述問題,防火墻安全掃描軟件提供了對防火墻系統配置及其運行操作系統的安全檢測,通常通過源端口、源路由、SOCKS和TCP系列號來猜測攻擊等潛在的防火墻安全漏洞,進行模擬測試來檢查其配置的正確性,并通過模擬強力攻擊、拒絕服務攻擊等來測試操作系統的安全性。
(3)Web網站掃描
Web站點上運行的CGI程序的安全性是網絡安全的重要威脅之一,此外Web服務器上運行的其它一些應用程序、Web服務器配置的錯誤、服務器上運行的一些相關服務以及操作系統存在的漏洞都可能是Web站點存在的安全風險。Web站點安全掃描軟件就是通過檢測操作系統、Web服務器的相關服務、CGI等應用程序以及Web服務器的配置,報告Web站點中的安全漏洞并給出修補措施。Web站點管理員可以根據這些報告對站點的安全漏洞進行修補從而提高Web站點的安全性。
(4)系統安全掃描
系統安全掃描技術通過對目標主機的操作系統的配置進行檢測,報告其安全漏洞并給出一些建議或修補措施。與遠程網絡安全軟件從外部對目標主機的各個端口進行安全掃描不同,系統安全掃描軟件從主機系統內部對操作系統各個方面進行檢測,因而很多系統掃描軟件都需要其運行者具有超級用戶的權限。系統安全掃描軟件通常能夠檢查潛在的操作系統漏洞、不正確的文件屬性和權限設置、脆弱的用戶口令、網絡服務配置錯誤、操作系統底層非授權的更改以及攻擊者攻破系統的跡象等。
【當前主流的網絡安全技術有哪些】相關文章:
你知道有哪些建筑新技術07-30
筆記本電腦主流顯卡有哪些03-19
局域網綜合布線技術有哪些12-03
科目三考試掉頭有哪些步驟有哪些11-10
PHP程序員掌握基本概念有哪些技術11-17
php用法有哪些06-16
大學有哪些專業12-03
理科專業有哪些06-10
由be構成的短語有哪些12-10